圧縮ツールごとに異なる圧縮解除方式を利用した攻撃手法(WinRARの使用誘導)

AhnLab ASEC 分析チームは3月23日、不正な圧縮ファイルがメールによって拡散していることを確認した。メールの内容は以下の図のとおりであり、添付ファイルはZIP拡張子であるが、「Use Winrar.(翻訳:WinRAR を使用してください)」というフレーズを含み、特定の圧縮解除プログラムで圧縮解除をするように誘導している。 圧縮されたマルウェアがメールによって拡散される方式は、以前から知られている方式である。しかし、このメールの場合、ユーザーに [図1] の赤文字(Use Winrar)のように、「WinRAR」で圧縮を解除することを誘導している。この方式で拡散されたサンプルとしては、現在までに計2種類の名前が確認されている。 MV_GLOVIS_B35C_191850_12_02_2020.zip Scan_Covid19_2020.zip 以下、新型コロナウイルスの名前と関連した「Scan_Covid19_2020.zip」をサンプルに説明する。…

[注意]COVID-19と関連したマルウェアが多数拡散

AhnLab ASEC 分析チームは、世界的に問題となっている新型コロナウイルス感染症(COVID-19)に関連したマルウェアが出回っていることを確認した。文書の内容やファイル名等がCOVID-19と関連しており、2月末から現在までに様々な形式で継続的に出回っている。初期に出回っていたマルウェアは、テスト用やジョーク性のファイル等で拡散していた。しかし、最近ではバックドア、ダウンローダー等、様々なタイプのマルウェアが出回っており、ユーザーの特別な注意が必要である。 [1] COVID-19 予防法に偽装したマルウェア ファイル名:Medidas Preventivas contra el COVID-19.doc MD5: 6862a4ed7c8e3341fed411245028b35b…

不正なマクロコードを「さらに」隠したExcelファイルの拡散 – very hidden

新たな方式で不正なマクロコードを隠した Excel ファイルが発見された。今回のファイルは Excel4.0(XLM) マクロシートを利用しているが、従来の不正なマクロシートを単純に隠していた方式から、一般的なユーザーインターフェースでは隠し属性を解除できないように変更された。VBA マクロコード方式を利用しているわけでもなく、XLM マクロシートを直接確認することもできないため、文書内のどこにマルウェアの存在有無を即座に確認することが困難である。  ファイル名 -invoice_805274.xls 生成日 -2020-03-09 15:30:32…

新天地イエス教会の緊急連絡先に偽装したBisonalマルウェアが拡散中

AhnLab ASEC 分析チームは現在、韓国で話題となっている新天地イエス教会に関連するマルウェアが出回っていることを確認した。拡散ファイル名は xlsx または ppt の文書ファイルに見えるが、Unicode RLO(Right to Left Override)方式を利用してファイル拡張子を別の形式のように表示している。実際の不正なファイルは *.scr…

見積や購入内容のメールに偽装して拡散するFormbookマルウェア

Formbook マルウェアは、2017年に初めて報告されて以降、現在まで拡散し続けている情報奪取型マルウェアである。最近では主に見積や購入関連のメールに偽装して拡散している。メールには圧縮された添付ファイルが含まれており、圧縮ファイル内部にはマルウェアの実行ファイルが存在する。単純な方法で拡散しているが、拡散量はマルウェアサンプル全体の中でも大きな割合を占めているため、注意が必要である。 AhnLab ASEC 分析チームでは、Formbook マルウェアの拡散に使用されている代表的な不正メールと、添付されたマルウェアに対する解析情報を紹介する。 不正なメールは、主に見積、購入、注文、発注、船積等のキーワードで出回っており、ユーザーがメールを開いて添付ファイルを実行するとマルウェアに感染する。圧縮ファイル内部のマルウェアは Delphi のアウトラインによってパッキングされており、パッカーは自分自身に対して再帰の実行をしたあと、内部にエンコードされた Formbook バイナリをインジェクションして実行する役割を行う。 Delphi…